前回の記事で1対1のNAT変換に関して記事を作成しました。
ただ現実の通信では、複数のプライベートアドレスとグローバルアドレスが同時にNAT変換されて通信が行われています。
このような通信を実現する技術がダイナミックNAT、またはPATと呼ばれる技術です。
ダイナミックNAT
全体構成図
前回の1:1のNATと違い、今回の構成図では東京支店で使用されている3台のPCがアメリカ支店のPCと通信を行う際、61.212.170.217-61.212.170.222の範囲でアドレス変換を行います。
interface GigabitEthernet0/0
ip address 10.1.1.254 255.255.255.0
ip nat outside
!
interface GigabitEthernet0/1
ip address 192.168.1.254 255.255.255.0
ip nat inside
!
ip nat pool 11 61.212.170.217 61.212.170.222 netmask 255.255.255.248
ip nat inside source list NAT_ACL_test1 pool 11
!
ip access-list extended NAT_ACL_test1
permit ip 192.168.1.0 0.0.0.255 any
!
PAT
複数のアドレス同士を変換するダイナミックNATですが、現在IPv4のグローバルアドレスは枯渇し始めており、例えば数百人規模のプライベートアドレスを数十個のグローバルアドレスに変換するため、都度プロバイダーがアドレスを払い出していたら、すぐにグローバルアドレスの底がついてしまいます。
そこで複数のプライベートアドレスを一つのグローバルアドレスに変換する技術、これがPATです。
*全体構成図はダイナミックNATと同じなので省略
interface GigabitEthernet0/0
ip address 10.1.1.254 255.255.255.0
ip nat outside
!
interface GigabitEthernet0/1
ip address 192.168.1.254 255.255.255.0
ip nat inside
!
ip nat pool 11 61.212.170.217 61.212.170.217 netmask 255.255.255.248
ip nat inside source list NAT_ACL_test1 pool 11 overload
!
ip access-list extended NAT_ACL_test1
permit ip 192.168.1.0 0.0.0.255 any
!
この検証では、NAT変換のアドレスをプールで指定しています。
PATのもう一つのやり方としてNAT変換後のアドレスはインターフェースを指定した設定もできますが
その場合、検証構成のアドレス割り当てが変わってくるので今回は割愛させていただきます。
検証後のダイナミックNATとPATの通信内容の差分比較
上記画像は、左がダイナミックNAT、右がPATの結果です。
ダイナミックNATでは192.168.1.10~192.168.1.12のプライベートアドレスが、61.212.170.217~61.212.170.219に変換されています。
一方のPATでは192.168.1.10~192.168.1.12のプライベートアドレスが、61.212.170.217のアドレスのみに変換され、ポート番号の変換も行われています。
ダイナミックNAT設定とPAT設定のコンフィグ違い
ダイナミックNAT設定とPAT設定では以下2つの違いがあります。
①プールアドレスの範囲
ダイナミックNATでは複数のアドレス同士をNAT変換するため変換したいアドレスの範囲を指定します。
なおNAT変換時に割り当てられるアドレスは若番から順に払い出しが行われます。
参考として差分比較のダイナミックNATの検証結果では61.212.170.217から順に変換が行われています。
②overload設定の有無
PAT設定を行う際、overloadの設定を行わないと通常のダイナミックNATと同じ変換が行われてしまいます。
PATの通信を実現したい場合、絶対にoverloadを設定する。
これは忘れないで下さい。
